Google-Richtlinien: EFF gibt Datenschutz-Tipps

Die US-Bürgerrechtsorganisation EFF gibt auf ihrer Webseite Tipps, wie noch vor der Umstellung der Datenschutzrichtlinien von Google eine Zusammenführung der Suchhistorie mit anderen Google-Diensten verhindert werden kann.

Am 1.März wird Google die stark umstrittene neuen Datenschutzrichtlinien einführen, die die Zusammenführung aller Daten von Google-Diensten vorsieht. Dadurch könnten theoretisch mit Hilfe der Suchhistorie und den Daten aus anderen Diensten wie YouTube oder Google+ ziemlich präzise Schlüsse über einen Nutzer gezogen werden. Um das zu verhindern, hat die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) eine Anleitung auf ihrer Seite veröffentlicht, wie vergangene Suchdaten gelöscht und die Sammlung von diesen Daten in Zukunft verhindert werden kann.

Quelle: futurezone.at

Folgen Sie unserem Blog per E-Mail

Folgen Sie unserem Blog per E-Mail

Möchten Sie über aktuelle Beiträge aus unserem Blog per E-Mail informiert werden? Tragen Sie Ihre E-Mail Adresse in der rechten Spalte unter dem Abschnitt  „Blog via E-Mail abonnieren“ ein und aktivieren Sie danach in der eingegangenen E-Mail das Abonnement. Jeder unserer Artikel wird, sobald er veröffentlicht wird, per Email an die von Ihnen gewählte E-Mail Adresse verschickt. Nützen Sie diese Funktionalität, um über alle Beiträge hier auf dem Laufenden zu bleiben. Selbstverständlich können Sie sich jederzeit von dem E-Mail Verteiler abmelden.

Analysis & report: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

Analysis & report: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

This analysis is an in-depth look at the January 2017 Executive Order 13768, Enhancing Public Safety in the Interior of the United States and its interaction with two laws, the Privacy Act of 1974 and the Judicial Redress Act of 2015. Regardless of the reasons underlying why the order was written, a key question this analysis considers is if the order damages the EU-US Privacy Shield agreement, which depends on the dual interactions of the Privacy Act and the Judicial Redress Act to function properly. This analysis finds the order indeed casts doubt on the viability of the limited privacy protections for non-resident aliens in the Judicial Redress Act of 2015. If so, the Judicial Redress Act of 2015 does not provide all EU citizens with the meaningful privacy protections that they expected. The effect may be to fatally undermine the EU-US Privacy Shield Agreement.

Link: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

Data protection becomes a mainstream topic of business conversation

Data protection becomes a mainstream topic of business conversation

Microsoft has introduced an expanded settings menu in Windows 10 that gives users installing the software more information on data privacy. However, the EU’s Article 29 Working Party wonders if the changes include enough disclosures to customers. The WP29 has asked for more explanation of Microsoft’s processing strategy of personal data for various purposes, including advertising.

Less than 15 months left before the new GDPR comes into force, Microsoft also announced this week its promise to be compliant with the GDPR across all cloud services by the May 2018 deadline. Brendon Lynch stated that Microsoft is committed to principles of cloud trust, privacy, transparency and compliance. He also added that, while Microsoft is committed to “helping you successfully comply with the GDPR, it is important to recognize that compliance is a shared responsibility.“ Lynch also acknowledged that the regulation’s new requirements will include greater access and deletion rules, clear risk assessment and data breach notification procedures, as well as data protection officer roles for many organizations.

Source: IAPP News

Unser Forum ist online

Unser Forum ist online

Unser Forum ist online! Ab sofort können Sie sich unter dieser Adresse registrieren (sofern Sie bereits ein Vereinsmitglied sind).

Unser Forum soll zum Austausch und zur Archivierung von Gedanken, Meinungen und Erfahrungen zum Themenbereich Datenschutz sowie angrenzenden Themen dienen. Inhaltlich und fachlich relevante Beiträge sollen exklusiv allen Mitgliedern des Vereins zur Verfügung gestellt werden, wobei der Austausch zwischen den Mitgliedern im Mittelpunkt stehen soll. Der Vereinsvorstand freut sich auf einen regen Informationsaustausch und spannende Diskussionen. Demnächst starten im Forum auch die Arbeitskreise „Rollenbild Datenschutzbeauftragter in Österreich“ und „Datensicherheit“.

Universitätslehrgang „Datenschutz und Privacy“ (Certified Program)

Universitätslehrgang „Datenschutz und Privacy“ (Certified Program)

Update 11.5.2017: Der Universitätslehrgang wurde genehmigt und startet im Oktober 2017, nähere Informationen finden Sie direkt bei der Donau-Uni Krems, hier geht es direkt zur Bewerbung.

Die Donau-Universität Krems bietet ab Oktober 2017 – vorbehaltlich des studienrechtlichen Genehmigungsverfahrens – eine fundierte, mehrwöchige Weiterbildung im Bereich des Datenschutzrechts an (Lehrgangsleiter: Univ.-Prof. Ing. Dr. Clemens Appl, LL.M). Mehrere (Vorstands-)Mitglieder von Privacyofficers.at haben die Ehre, den Lehrgang als Mitglieder des Beirats begleiten zu dürfen. Hervorzuheben ist auch die Mitwirkung des stellvertretenden Leiters der österr. Datenschutzbehörde. Eines dürfen wir schon verraten – das Weiterbildungsprogramm kann sich wirklich sehen lassen.

Ziel des Universitätslehrgangs ist die akademisch fundierte und zugleich anwendungsorientierte Weiterbildung im Fachgebiet „Datenschutz und Privacy“. Vermittelt werden vertiefte Kenntnisse zu rechtlichen Rahmenbedingungen, technischen Aspekten der Datensicherheit sowie zum Datenschutzmanagement. Die Inhalte und Kompetenzen orientieren sich eng am gesetzlichen Tätigkeits- und Qualifikationsprofil für „Datenschutzbeauftragte“. Damit qualifizieren die im Lehrgang erworbenen Fachkenntnisse und Kompetenzen zur Ausübung dieser Funktion in Unternehmen oder in der öffentlichen Verwaltung. Der Lehrgang wird 19 Ausbildungstage (Präsenzlehre) und 18 ECTS umfassen.

Mehr dazu finden Sie hier, das Infoblatt (pdf) können Sie hier herunterladen.

Trump must address European concerns about Privacy Shield, tech firms say

U.S. tech firms have urged President Donald Trump to assuage European fears about the future of the EU-U.S. Privacy Shield after Trump’s executive order striking privacy protections for foreigners, Fortune reports. While legal analysts have „downplayed that concern by pointing out that the order seems to include an exception for Privacy Shield,“ the report states, „given the recent skittishness of European regulators about U.S. surveillance, calls are mounting for the White House to publicly reassure Europeans the order doesn’t affect their data.“ The Computer and Communications Industry Association’s Bijan Madhani added that „Transatlantic digital trade is valued at $260 billion annually, and we would encourage the Administration to keep these substantial economic benefits in mind.“

Quelle: IAPP

Editor’s Note: The IAPP will host Privacy Shield one-on-one consultations at the Europe Data Protection Intensive in London, England, March 14-16.

Anonymisierte Google-Suche über Startpage

Anonymisierte Google-Suche über Startpage

Nach eigenen Angaben ist Startpage die Suchmaschine mit den weltweit wirksamsten Datenschutzrichtlinien. Startpage erfasst im Gegensatz zu Google keine IP-Adressen der Nutzer. Es werden auch keine Cookies zur Identifizierung der Nutzer benutzt. Des Weiteren werden Daten nicht gespeichert und nicht an Dritte weitergegeben. Es besteht die Möglichkeit, eine verschlüsselte Verbindung zu benutzen. Ein kostenloser Proxy-Service ermöglicht außerdem ein anonymes Surfen im Internet.

Am 14. Juli 2008 wurde Ixquick/Startpage mit dem ersten Europäischen Datenschutz-Gütesiegel (EuroPriSe) ausgezeichnet. Damit ist Ixquick die erste und einzige offiziell nach EU-Datenschutzrecht geprüfte und zertifizierte Suchmaschine. Neben den Niederlanden wird nach eigenen Angaben ein Teil der Server von Startpage jedoch in Palo Alto (USA) gehostet und unterliegt damit dem PATRIOT Act. Mit diesem Gesetz muss US-Behörden, wie dem FBI, der NSA oder der CIA ein Datenzugriff auch ohne richterliche Anordnung gewährt werden.

https://www.startpage.com

Startschuss für Differential Privacy in iOS 10.3

Um Apples AI-Assistenten zu verbessern, hat Apple ein Analyse-Tool für die Kundendaten in der iCloud in der neuesten iOS-Beta implementiert. Datenschutzrechtlich ist dieses Vorhaben normalerweise äußerst bedenklich. Apple hat jedoch eine Möglichkeit gefunden, die bisher kaum ein Konzern in solchem Ausmaß nutzt: Differential Privacy.

Beschreibung von Differential Privacy

Weitere Informationen auf MTN.de

Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

Erstes Vereinsseminar von PrivacyOfficers.at zum Thema „Umsetzungsprojekte zur EU-DSGVO“ war ein voller Erfolg

Am Abend des 1. Februar 2017 fand das erste Vereinsseminar von PrivacyOfficers.at statt. Dabei stellte ein aktives Mitglied von PrivacyOfficers.at den derzeitigen Stand des „Umsetzungsprojektes zur EU-DSGVO“ vor. Durch die angeregte Diskussion und die vielen Inputs der anderen Mitglieder konnte jeder der Teilnehmer wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Im Seminar wurde vom Vortragenden eindrucksvoll gezeigt, wie ein effizientes System – sowohl auf organisatorischer als auch auf technischer Ebene – aufgebaut wurde, mit dem die zukünftigen Bestimmungen der EU-DSGVO praxistauglich adressiert werden können.

Das nächste Vereinsseminar findet im Mai (ebenfalls in Wien) zum Thema „Datensicherheit in der Praxis – Stand der Technik“ statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich dazu eingeladen. Details zum nächsten Vereinsseminar folgen per Mail in den nächsten Tagen.

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat im Dezember 2016 u.a. “Guidelines on Data Protection Officers (‘DPOs’)” veröffentlicht, die (bis Ende Jänner 2017) kommentiert werden können. Privacyofficers.at hat diese Möglichkeit genutzt und folgende Stellungnahme abgegeben:

In general, Privacyofficers.at welcomes the approach of the WP29 to further illustrate the GDPR and create a benefit for the addressees in the practical adoption of its provisions. Nevertheless, we would like to draw your attention to three issues which we find to be debatable in the view of a practical implementation:

1. Section 3.2. of the Guidelines (“Necessary resources”) – last bullet point:
The WP29 clarifies that an external DPO can fulfill the duties of a DPO for a data controller/processor either by a single representative or by a team. We welcome this approach; however, the option of carrying out the tasks of a DPO as a team should also be open to internal DPOs. We are of the opinion that controllers/processors should be free to appoint a single DPO or a team/board with the tasks of a DPO as long as all team members benefit from the provisions of the GDPR regarding dismissal etc. Therefore, we would recommend a clarification of the Guidelines in this regard.

2. Section 3.4. of the Guidelines (“Dismissal or penalty for performing DPO tasks”):
The WP29 argues that the cancellation of a contract with an external DPO shall only be possible and legally enforceable in the case the external DPO is in breach of its duties of being a DPO. This interpretation could be in conflict with the principle of freedom of contract. Each controller should be able to engage an external DPO but also to terminate the assignment of an external DPO in compliance with the relevant contract and applicable law. An external DPO is, in essence, a service provider commissioned to perform the controller´s / processor’s duties. The strict interpretation by the WP29 would lead to a situation where a controller cannot switch from an external DPO to an internal DPO unless the external DPO has failed to fulfill its duties under the GDPR. We are of the opinion that such an interpretation is not in line with the GDPR requirements and the principle of freedom of contract. We would therefore kindly ask for a re-evaluation or clarification of the Guidelines as regards this matter.

3. Section 4.4. of the Guidelines (“The DPO´s role in record-keeping”):
We regard the possibility of assigning the task of a data controller/processor to keep records of processing activities to the DPO, as the WP29 suggests, very critical for four reasons:
a. The DPO should be able to perform its duties and rights in full autonomy and without any interference by the controller / processor. On top of that, other tasks assigned to the DPO shall not lead to any conflicts of interest in executing the task of a DPO. It is foreseeable that a task principally assigned to the data controller, where noncompliance might lead to a fine as imposed by Art. 83, might create conflicts and could endanger the full autonomy of DPOs, for example in case the DPO does not follow instructions given by the data controller regarding the records to “cover-up” data processing not fully in line with the GDPR.

b. Furthermore, the DPO has – from the viewpoint of the tasks assigned by the GDPR- a sole control and advisory function, and is not responsible for the controller’s / processor`s compliance with the GDPR. Should the DPO be mandated to keep the records of all processing activities of the controller, this is in conflict with the nature of these tasks assigned and would very likely lead to a conflict of interests.

c. Also from a practical perspective the assignment of this task causes certain issues: Such a register has to follow specific requirements of IT or other responsible departments within a controller’s organization. It is not ensured that a DPO is receiving complete information of all processing activities within a controller’s business as the DPO is not responsible to have a complete list/register of all processing operations. The DPO has the role of an advisor and supervisor but not that of an “implementer”. This obligation lies with the controller / processor and not with the DPO.

d. Finally, the autonomy of the DPO opens up the possibility to impose fines on the data controller based on the activities of the DPO – while having only very limited influence over the DPO. As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.